Mayıs 2025’ten beri, adlandırılan yeni bir kimlik bilgisi stealer Maranhão Stealer korsan oyun yazılımı kullanıcıları için önemli bir tehdit olarak ortaya çıkmıştır. Çatlak başlatıcılar ve hileler barındıran aldatıcı web siteleri aracılığıyla dağıtılan kötü amaçlı yazılım, zararsız görünen truva atışçılarını sunmak için buluta sahip platformlardan yararlanır.
Yürütme üzerine, yükleyici bir NODE.JS – bir Inno kurulum yürütülebilir dosyasında kapsüllenmiş ikili ikili açar ve hassas verileri hasat ederken kullanıcı algılamasını önleyen sessiz bir enfeksiyon işlemi başlatır.
İlk kampanyalarında, tehdit aktörleri kurbanları cazip indirme bağlantılarıyla çekti DerelictSetup.zipvaat eden değiştirilmiş oyun içeriği.
Ancak perde arkasında, Inno kurulum sargısı, updater.exe– crypto.keyVe infoprocess.exeGizli bir “Microsoft Updater” dizinine %localappdata%\Programs.
.webp)
Cyble analistleri, kötü amaçlı yazılımın, Run Record Defteri Anahtarları ve Dağıtımdan hemen sonra planlanan görevler aracılığıyla kalıcılık oluşturduğunu belirtti.
Maranhão Stealer’ın etkisi basit kimlik hırsızlığının ötesine uzanıyor. Yansıtıcı bir DLL tarayıcı işlemlerine enjekte ederek, krom, kenar, cesur, opera ve diğer krom bazlı tarayıcılardan depolanmış şifreleri, çerezleri ve tarama geçmişini eklemek için appbound şifreleme gibi güvenlik önlemlerini atlar.
Cyble araştırmacıları, kötü amaçlı yazılımın aynı zamanda kripto para cüzdanlarını (Elektrum, Çıkış, Coinomi ve daha fazlasını) hedeflediğini belirledi.
Kimlik bilgisi hasatına ek olarak, Maranhão Stealer kapsamlı sistem keşifleri yapar. WMI sorguları aracılığıyla donanım ve ağ bilgileri toplar. wmic os get Caption ve harici API çağrıları ip-api.com/jsonEnfekte konakçının işletim sistemi, CPU, disk alanı ve coğrafi konumunun profillenmesi.
PowerShell’deki satır içi C# aracılığıyla yakalanan ekran görüntüleri, çalınan zekayı daha da artırarak tehdit aktörlerinin kullanıcı etkinliğini gerçek zamanlı olarak izlemelerini sağlıyor.
Enfeksiyon mekanizması
Enfeksiyon mekanizmasının daha yakından incelenmesi, gizli ve güvenilirlik için tasarlanmış çok aşamalı bir süreci ortaya çıkarır.
Inno kurulum yükleyicisinin yürütülmesi üzerine, ana yük (updater.exe) /VERYSILENT Mod, herhangi bir yükleme iletişim kutusunu bastırma.
Kalıcılık derhal bir kayıt defteri değişikliği ile güvence altına alınır:-
reg.exe ADD HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v updater /t REG_SZ /d "C:\Users\\AppData\Local\Programs\Microsoft Updater\Updater.exe" /f .webp)
RUN tuşu yer aldıktan sonra, kötü amaçlı yazılımlar dizini ve dosyalarını gizli ve sistem öznitelikleriyle işaretler. attrib +h +sgündelik muayeneden gizlenmelerini sağlamak.
Bir sonraki aşama, bir yardımcı işlemin ortaya çıkmasını içerir, infoprocess.exedoğrudan çalışan tarayıcı işlemlerine bir yük dll enjekte eder.
Düşük seviyeli Windows API’leri kullanma-NtAllocateVirtualMemory– NtWriteProcessMemoryVe CreateThreadEx– Kötü niyetli modül, diske dokunmadan hedefin bellek alanına eşlenir.
Bu yansıtıcı enjeksiyon tekniği sadece antivirüs taramalarından kaçınmakla kalmaz, aynı zamanda meşru tarayıcı yürütülebilir dosyaları bağlamında da çalışır ve algılamayı daha da zorlaştırır.
Sosyal mühendislik, bulut tabanlı dağıtım ve gelişmiş enjeksiyon taktiklerini birleştirerek Maranhão Stealer, modern kimlik bilgisi çalıcılarının gelişen karmaşıklığını örneklendirir.
Güvenlik ekipleri, erken aşamalarında bu tür gizli tehditleri tespit etmek ve engellemek için uygulama kontrol politikalarına, anormal kayıt defteri düzenlemelerinin uç nokta izlemesine ve davranışsal analizlere öncelik vermelidir.
Free live webinar on new malware tactics from our analysts! Learn advanced detection techniques -> Register for Free